SonicWallがSMA1000の脆弱性を警告、ゼロデイ攻撃で悪用され修正パッチが公開

SonicWallは、脅威アクターがSMA1000の2件の脆弱性(CVE-2026-15409およびCVE-2026-15410として追跡)をゼロデイ攻撃で悪用していると警告し、顧客に対して新たに公開されたセキュリティアップデートの適用を呼びかけています。

CVE-2026-15409は、SMA1000アプライアンスのWork Placeインターフェースに存在するサーバーサイドリクエストフォージェリ(SSRF)の脆弱性で、深刻度はクリティカル(CVSS 10.0)です。リモートの未認証攻撃者がアプライアンスを操り、意図しない場所へのリクエストを強制的に発生させることが可能になります。

CVE-2026-15410は、SMA1000アプライアンスの管理コンソールに存在する認証後のコードインジェクションの脆弱性で、深刻度は高(CVSS 7.2)です。リモートの認証済み管理者が任意のオペレーティングシステムコマンドを実行できる可能性があります。

CVE-2026-15410の悪用には管理者権限が必要ですが、SonicWallはこのアドバイザリ全体に対してCVSSスコア10.0を割り当てています。

SonicWallは複数のインシデントを調査した結果、両方の脆弱性が実際に悪用されていることを確認したと述べています。

「SonicWall PSIRTは、本アドバイザリに記載された脆弱性の積極的な悪用を示す複数の事例を調査してきました」とSonicWallは警告しています

「お客様には、これらの脆弱性を修正するため、できるだけ早くホットフィックスリリースへのアップグレードを強く推奨します」

ただし同社は、攻撃者がこれらの脆弱性を連鎖的に悪用しているかどうかについては明らかにしていません。BleepingComputerはSonicWallに攻撃の詳細について問い合わせており、回答があり次第本記事を更新する予定です。

これらの脆弱性は、プラットフォームホットフィックスリリース12.4.3-03245、12.4.3-03387、12.4.3-03434、12.5.0-02283、12.5.0-02624、12.5.0-02800を実行しているSMA1000モデル6210、7210、8200vに影響します。修正版はプラットフォームホットフィックスバージョン12.4.3-03453および12.5.0-02835以降のリリースで提供されています。

SonicWallによると、これらの脆弱性はSonicWallファイアウォール上で稼働するSSL-VPNや、SMA 100シリーズ製品ラインには影響しないとのことです。

同社はまた、アプライアンスが侵害されているかどうかを管理者が判断できるよう、侵害の痕跡(IOC)を以下のとおり共有しています。

  • extraweb_access.logに/__api__/loginまたは/__api__/logoutへのリクエストがHTTP 200ステータスで記録されている場合
  • extraweb_access.logに/wsproxyへの不審なホストパラメータを伴うリクエストがHTTP 101ステータスで記録されている場合
  • ctrl-service.logにパストラバーサル名を伴うホットフィックスのロールバックが記録されている場合
  • /var/lib/unit/conf.jsonに/__api__/loginまたは/__api__/logoutへのルートが含まれている場合(これらのURIは正規の設定には存在しません)

SonicWallは、最新のホットフィックスリリースへのアップグレードと、上記のIOCが存在しないかどうかを確認する分析の実施を強く推奨しています。

デバイスが侵害されていることが判明した場合、同社は物理アプライアンスの再イメージ化、または仮想アプライアンスの再デプロイを行い、すべてのユーザーおよび管理者のパスワードを変更し、TOTPトークンをリセットするよう管理者に勧めています。

SonicWallはまた、これらの脆弱性についてはホットフィックスの適用以外に回避策や緩和策が存在しないとも述べています。

米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、両脆弱性を既知の悪用された脆弱性(KEV)カタログに追加し、実際の攻撃で悪用されていることを確認しています。

連邦政府機関は、拘束的運用指令(BOD)26-04に基づき、2026年7月17日までに影響を受けるシステムを保護するか、緩和策を適用できない場合は当該製品の使用を中止する必要があります。

攻撃者に先んじて、すべてのレイヤーをテスト

セキュリティチームが記録できている攻撃成功事例はわずか54%、アラートが発生するのはたった14%にすぎません。残りは環境内を検知されないまま通過しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMやEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を紹介しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-sma1000-flaws-exploited-in-zero-day-attacks-patch-now/

ソース: bleepingcomputer.com